Nach dem sog. Kassengesetz (BGBl 2016 I S. 3152) müssen Unternehmen mit elektronischen Kassensystemen zum Manipulationsschutz einer zertifizierten technischen Sicherheitseinrichtung (TSE) bei Kassenaufzeichnungen. Wer hierbei auf eine cloudbasierte TSE-Lösung setzt, muss diese bis 31.3.2021 umsetzen.

Was jetzt in der Praxis zu tun ist.

Hintergrund

Das Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen (sog. Kassengesetz) schreibt den Einsatz einer zertifizierten technischen Sicherheitseinrichtung zum Schutz der Kassenaufzeichnungen grundsätzlich ab dem 1.1.2020 vor (§ 146a Abs.1 S.1 AO, § 1 S.1 KassenSichV).

Derzeit besteht allerdings in der Praxis ein Problem für die Unternehmen, die nicht auf eine hardwarebasierte Sicherung setzen, sondern sich für eine cloudbasierte TSE-Lösung entschieden haben. In den Fällen, in denen die von den Bundesländern veröffentlichten Nichtbeanstandungsregelungen zur Aufrüstung elektronischer Aufzeichnungssysteme mit einer TSE in Anspruch genommen werden, muss eine cloudbasierte TSE bis spätestens zum 31.3.2021 implementiert und die Anforderungen an den Schutz der Anwenderumgebung umgesetzt werden.

Vielfach wird es den Unternehmen nicht möglich sein, diese Vorgaben fristgerecht umzusetzen.

BSI zertifiziert Cloud-basierte TSE-Lösungen

Unternehmen, die – anstelle einer Hardware-TSE – eine Cloud-TSE zur Absicherung ihrer elektronischen Kassen(systeme) verwenden möchten, können nunmehr auf drei Cloud-TSE-Lösungen zurückgreifen: Nach der Deutschen Fiskal und D-Trust hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen eine weitere Cloud-basierte TSE-Lösung (Fa. Swissbit) zertifiziert. Zwei weitere Anbieter (A-Trust und fiskaly) befinden sich noch im Zertifizierungsverfahren.

Aber Achtung! Es ist erforderlich, dass die zertifizierte Cloud-TSE in einer besonders geschützten „Anwenderumgebung“ betrieben wird. Wie diese konkret ausgestaltet sein muss, sollten Unternehmen jetzt umgehend mit ihrem Cloud-TSE-Hersteller abklären. Dabei sollte insbesondere geprüft werden, ob zum Betrieb dieser Cloud-TSE noch weitergehende Maßnahmen im Unternehmen selbst (z.B. Aufrüstung der Kassenhardware mit TPM 2.0-Modulen) erforderlich sind. Die Zeit rennt davon…

Das BMF hat bereits im August 2020 ein Schreiben zur steuerlichen Behandlung der Kosten der erstmaligen Implementierung einer zertifizierten technischen Sicherheitseinrichtung sowie einer digitalen Schnittstelle veröffentlicht (BMF, Schreiben v. 21.8.2020 – IV A 4 – S 0316-a/19/10006 :007).

Die gute Nachricht: Die Kosten der nachträglichen erstmaligen Ausrüstung sind aus Vereinfachungsgründen in voller Höhe sofort abziehbare Betriebsausgaben.

Finanzamt kann Fristverlängerung nach § 148 AO gewähren

Die Finanzbehörden können nach § 148 AO bestimmte Erleichterungen bewilligen, wenn die Einhaltung der durch die Steuergesetze begründeten Buchführungs-, Aufzeichnungs- und aufbewahrungspflichten Härten mit sich bringt und die Besteuerung durch die Erleichterung nicht beeinträchtigt wird. Dieses gilt auch hinsichtlich der Frist über den 31.3.2021 hinaus zur Implementierung einer zertifizierten Cloud-TSE einschließlich der technischen Umgebung.

Was betroffene Unternehmen jetzt unbedingt tun sollten

Sollten Unternehmen nicht in der Lage sein, bis Ablauf der von den Länderfinanzverwaltungen (Ausnahme: Bremen) gesetzten Nichtbeanstandungsfrist 31.3.2021

• eine zertifizierte Cloud-TSE zu implementieren und
• die erforderlichen Maßnahmen zum Schutz der Anwenderumgebung

umzusetzen, sollte dringend mit dem steuerlichen Berater die Antragstellung nach § 148 AO beraten werden. Ansonsten ist der Betrieb einer ungeschützten Kasse nach dem 31.3.2021 rechtswidrig, es drohen dann empfindliche Schätzungen sowie die Einleitung eines bußgeldbewehrten Ordnungswidrigkeitsverfahrens. Mit Blick auf ggf. erforderliche Antragstellungen nach § 148 AO hat der DIHK seine nützliche Praxishilfe aktualisiert.